江湖秘笈：戲說三國之三級等保篇 應用系統中應對不同用戶的許可權進行嚴格規範和操作限制 重要資源的訪問許可權應重點關注

關注藍字 看點網路安全

Hello，親愛的看官們，大家晚上好。

上一回，我們聊到了劉備、關羽、張飛和趙雲四人受到劉表的邀請，一同來到徐州進行州縣網站的應用身份鑒別功能核查工作。

由於四人的積極表現，加之劉表一直與曹操不和，於是就留下四人小住一陣。

住在徐州的時間裡，劉表經常約劉備一同談事。

一次二人閑談時，無意中聊到了有關應用的7.1.4.2 訪問控制部分內容，於是劉表心血來潮，便藉機讓劉備等人將這塊工作也幫著做了。

為此，趙雲找到了應用系統的管理員，與他交流起來。

1

訪談應用系統管理員，詢問應用系統是否提供訪問控制措施，以及具體措施和訪問控制策略有哪些，訪問控制的粒度如何

「

作為應用訪問控制，趙雲首先嚮應用系統管理員進行了詢問，希望通過溝通了解當前應用系統中是否配置有訪問控制措施。

這些措施包含了哪些方面，同時在安全策略上，又將控制的粒度中心放在了哪裡？

通常，我們知曉的控制方法有針對用戶登錄或是後台系統登錄的用戶名和密碼、驗證方式以及系統識別等。

而這裡所指的控制策略主要針對的是用戶登錄應用系統後，對於文件操作時所進行的行為限制等。

特別是增、刪、改和查四個方面，前三項直接關係著應用數據的正確與否，所以在操作限制方面就需要進行明確的限制和規範了。

」

2

檢查主要應用系統，查看系統是否提供訪問控制機制；是否依據安全策略控制用戶對客體的訪問

「

好啦，了解過訪問控制方面的重點關注環節後，趙雲便要求管理員說希望查看重要的應用系統訪問控制機制，以便了解在系統中是否配置有明確的安全策略來對用戶訪問文件或資料庫時有相關的要求限制。

這裡所指的客戶除了普通用戶外，還包含不同崗位的管理員及管理人員賬號。

」

3

檢查主要應用系統，查看其訪問控制的覆蓋範圍是否包括與信息安全直接相關的主體、客體及它們之間的操作；訪問控制的粒度是否達到主體為用戶級，客體為文件、資料庫表級

「

查看過安全策略後，趙雲繼續深入挖掘了一番。

這樣做的目的是希望知曉主要應用系統當中，訪問控制的範圍是否能夠包含全部用戶類型以及對應的文件、資料庫表等。

特別是這裡針對主客體進行了明確的解釋和說明。

需要注意的是，不同的主體之間所分配的管理許可權也是不同的，因此在進行許可權的設定時，一定要根據實際需求與業務的操作規範進行主體設定，防止主體在對客體進行操作時，因不對稱的許可權導致應用中重要數據被誤操作。

」

4

檢查主要應用系統，查看其是否有由授權用戶設置其它訪問系統功能和用戶數據的許可權的功能，是否限制默認用戶的訪問許可權

「

到了這裡其實就相對簡單了，趙雲在詢問管理員時，主要了解的方向為對用戶的許可權預設方面是否進行了之前問題中表述的事項。

特別是超級管理員在進行下級管理員和普通用戶的許可權進行分配過程中，是否存在越權的操作等。

」

5

檢查主要應用系統，查看系統是否授予不同賬戶為完成個子承擔任務所需的最小許可權，特權用戶的許可權是否分離，許可權之間是否相互制約

「

這裡依舊是對賬戶許可權方面的情況了解與檢查工作。

只是這次的賬戶許可權不在包含普通用戶，而是將重點放在管理員的賬戶上。

根據不同崗位的管理員，他們會擁有屬於自身的不同操作許可權。超級管理員在對這些賬戶進行許可權預設時，是否遵循了初始最小操作許可權的規則進行設置。

同時不同的賬戶之間是否許可權具備一定的制約性，而非具備相同或重複的許可權等。

」

6

檢查主要應用系統，查看是否能夠對重要信息資源設置敏感標記，這些敏感標記是否以默認方式生成或由安全員建立、維護和管理

「

在大量的詢問與檢查工作過後，趙雲回到原點來了解在應用系統中，是否針對重要的資源設置了敏感信息標記。

特別是一些含有業務信息數據的表單與文件上，如果有管理員或用戶進行操作時，是否會給與說明與操作提示等告知信息。

當然，這些敏感標記是在應用系統開發之初就被設置還是說後期由安全管理員負責設置、維護與管理，也同樣是趙雲要去了解的信息。

」

7

檢查主要應用系統，查看是否依據安全策略嚴格控制用戶對敏感標記重要信息資源的操作

「

基於上面一條信息的詢問，趙雲繼續進行了更加清晰的探查工作。

針對用戶對敏感的操作是否會進行安全策略控制方面，趙雲從安全管理員處了解了一番。

」

8

測試主要應用系統，可通過以不同許可權的用戶登錄系統，查看其擁有的許可權是否與系統賦予的許可權一致，驗證應用系統訪問控制功能是否有效

「

好啦，聊了很多，問了很多，趙雲與管理員已經有些疲憊了。

可是安全工作不容忽視，為此趙雲選擇找管理員要來不同許可權的賬號進行測試工作。

通過使用不同賬號對系統中的資源進行操作，從而驗證是否與此前詢問時了解的用戶許可權預設一致，在訪問控制方面是否有效的形成了安全保護措施。

」

9

測試主要應用系統，可通過以默認用戶登錄系統，並進行一些合法和非法操作，驗證系統是否嚴格限制了默認賬戶的訪問許可權

「

基於上一條測試內容，趙雲又開始深入的測試，使用例如遊客、基礎用戶類型的賬戶進行登錄，然後對一些重要資源進行操作嘗試。

這其中包含了增、刪、改和查等操作，目的是確認這些默認賬戶是否基於控制策略與用戶許可權預設等有效的得到了限制，防止對重要資源信息的誤操作行為出現。

」

10

滲透測試主要應用系統，進行試圖繞過訪問控制的操作，驗證應用系統的訪問控制功能是否不存在明顯的弱點

「

在最後階段，趙雲開啟了重要測試模式，如身份鑒別最後環節那樣，使用一些攻擊手段，然後從應用系統中找到是否能夠繞過訪問控制許可權便可以對重要資源信息進行訪問的操作可能。

」

在經過一番測試後，趙雲發現徐州州縣網站的用戶訪問控制策略做的很安全，便結束工作回去撰寫報告去了。

完

▼

把時間交給閱讀

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！